Informativa sul trattamento dei dati personali
Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR")
Versione: 5.0
Data aggiornamento: 15/04/2026
Ambito: Telamando.io
1. Titolare del trattamento
Il Titolare del trattamento è RD Tech S.r.l., con sede operativa in Via Palermo, 4 – 88050 Caraffa di Catanzaro (CZ), C.F./P.IVA 02980680793, contattabile all'indirizzo privacy@telamando.io.
2. Responsabile della Protezione dei Dati (DPO)
RD Tech S.r.l. ha designato un Responsabile della Protezione dei Dati (DPO), contattabile all'indirizzo dpo@telamando.io.
Il Titolare provvede alla pubblicazione dei dati di contatto del DPO e alla loro comunicazione al Garante per la protezione dei dati personali ai sensi dell'art. 37, par. 7, GDPR.
3. A chi si rivolge l'informativa
La presente informativa si rivolge principalmente a:
- utenti registrati alla piattaforma;
- destinatari di link di condivisione creati dall'utente;
- soggetti che contattano il Titolare per assistenza o informazioni sul servizio.
4. Categorie di dati trattati
Il Titolare tratta, nei limiti di quanto necessario, le seguenti categorie di dati:
- dati anagrafici e identificativi: nome, cognome, codice fiscale, data di nascita;
- dati di contatto: e-mail;
- dati di autenticazione e sessione;
- dati tecnici: indirizzo IP, user-agent, timestamp, metadati di accesso e sicurezza;
- dati contenuti nei referti e nella documentazione caricata;
- dati relativi alla salute e ulteriori categorie particolari di dati eventualmente presenti nei documenti caricati;
- dati di audit e logging relativi all'utilizzo della piattaforma;
- dati relativi ai link di condivisione, alle relative scadenze e alle eventuali revoche.
5. Origine dei dati
I dati personali sono raccolti:
- dall'utente, durante la registrazione, l'accesso e l'utilizzo del servizio;
- tramite i sistemi di identità digitale/CIE, per quanto necessario all'identificazione e all'autenticazione;
- tramite i documenti caricati dall'utente;
- automaticamente dai sistemi informatici e di sicurezza del servizio.
6. Finalità del trattamento e basi giuridiche
I dati sono trattati per le finalità e sulle basi giuridiche di seguito indicate.
| Finalità | Base giuridica ex art. 6 GDPR | Eventuale base ex art. 9 GDPR |
|---|---|---|
| registrazione, autenticazione, gestione account e accesso al servizio | art. 6, par. 1, lett. b) | non applicabile |
| erogazione del servizio di caricamento, organizzazione, consultazione e condivisione dei documenti | art. 6, par. 1, lett. b) | art. 9, par. 2, lett. a) – consenso esplicito dell'interessato |
| estrazione testuale, classificazione, indicizzazione e sintesi dei documenti caricati, nei limiti delle funzionalità offerte dal servizio | art. 6, par. 1, lett. b) | art. 9, par. 2, lett. a) – consenso esplicito dell'interessato |
| invio di comunicazioni di servizio e notifiche operative | art. 6, par. 1, lett. b) | non applicabile |
| sicurezza del sistema, prevenzione degli abusi, blacklist, rate limiting, logging e audit | art. 6, par. 1, lett. f) | non applicabile |
| gestione delle richieste degli interessati e adempimenti normativi | art. 6, par. 1, lett. c) | non applicabile |
| tutela del Titolare in sede giudiziaria o stragiudiziale | art. 6, par. 1, lett. f) | ove rilevante, nei limiti consentiti dalla legge |
Il conferimento dei dati necessari all'erogazione del servizio è obbligatorio per poter utilizzare la piattaforma. Il mancato conferimento impedisce l'attivazione o il corretto utilizzo del servizio.
6-bis. Marketing diretto del Titolare e marketing di terzi
Alla data del presente documento:
- il Titolare non utilizza i documenti caricati, i dati relativi alla salute, i dati estratti dai documenti o gli Output del servizio per finalità di marketing, profilazione commerciale o personalizzazione pubblicitaria;
- il Titolare non comunica né cede a terzi i dati personali degli utenti per loro finalità promozionali;
- l'eventuale attivazione futura di comunicazioni promozionali dirette del Titolare potrà avvenire esclusivamente sulla base di un consenso separato, facoltativo, specifico e revocabile, utilizzando dati di contatto e non i contenuti sanitari caricati nella piattaforma;
- l'eventuale futura comunicazione o cessione di dati a terzi per loro finalità promozionali richiederà una specifica informativa dedicata e, ove applicabile, un consenso distinto rispetto a quello eventualmente raccolto per il marketing diretto del Titolare.
La mancata prestazione di un eventuale consenso marketing non incide sulla possibilità di utilizzare il servizio principale.
7. Modalità del trattamento
Il trattamento è svolto con strumenti elettronici e telematici, secondo principi di liceità, correttezza, trasparenza, minimizzazione, integrità e riservatezza.
Sono adottate misure tecniche e organizzative adeguate, tra cui, a titolo esemplificativo:
- autenticazione forte e controlli di accesso;
- permessi di accesso differenziati in base al ruolo;
- tracciamento e audit delle operazioni rilevanti;
- cifratura e protezione dei canali di trasmissione;
- conservazione controllata dei file e dei log;
- limitazione degli accessi ai soli soggetti autorizzati.
8. Destinatari dei dati
I dati possono essere comunicati, nei limiti strettamente necessari, a:
- personale autorizzato dal Titolare;
- amministratori di sistema autorizzati;
- soggetti espressamente abilitati dall'utente tramite le funzionalità di condivisione;
- fornitori di servizi tecnici nominati, ove necessario, responsabili del trattamento ai sensi dell'art. 28 GDPR;
- autorità pubbliche o soggetti legittimati a richiederli nei casi previsti dalla legge.
Alla data del presente documento non è prevista la comunicazione o cessione dei dati personali degli utenti a terzi per loro finalità di marketing.
9. Principali fornitori coinvolti
Alla data del presente documento, i principali fornitori coinvolti sono:
- OVH SAS (OVHcloud), società per azioni semplificata di diritto francese (SAS), con sede in 2 rue Kellermann, 59100 Roubaix, Francia, per servizi infrastrutturali e object storage;
- OVH SAS (OVHcloud), società per azioni semplificata di diritto francese (SAS), con sede in 2 rue Kellermann, 59100 Roubaix, Francia, per il servizio e-mail/SMTP;
- componenti installate e gestite internamente per logging, osservabilità, OCR e pseudonimizzazione.
I rapporti con i fornitori che trattano dati per conto del Titolare sono disciplinati, ove necessario, da accordi ai sensi dell'art. 28 GDPR.
10. Trasferimenti verso Paesi terzi
Alla data del presente documento non sono previsti trasferimenti di dati personali verso Paesi extra-UE/SEE.
Qualora in futuro il Titolare intenda introdurre fornitori o componenti che comportino tali trasferimenti, il trattamento sarà preventivamente rivalutato e adeguato ai requisiti del Capo V GDPR.
11. Periodi di conservazione
I dati sono conservati per periodi determinati e coerenti con le finalità perseguite.
| Categoria di dati | Periodo di conservazione |
|---|---|
| dati dell'account e del profilo | fino alla cancellazione dell'account o alla cessazione del rapporto, con finestra tecnica massima di 30 giorni per la cancellazione definitiva |
| documenti caricati, testo OCR, metadati clinici e dati relativi alla salute | fino alla cancellazione richiesta dall'interessato o alla cessazione del rapporto, con finestra tecnica massima di 30 giorni per la cancellazione definitiva |
| audit log | 365 giorni |
| log operativi | 180 giorni |
| refresh token e dati di sessione | fino alla scadenza o revoca, con eliminazione tecnica secondo i cicli applicativi di cleanup |
| blacklist IP e dati antiabuso | fino alla scadenza del blocco e, comunque, non oltre il termine definito dalla misura di sicurezza applicata |
| backup | permanenza limitata al ciclo tecnico di rotazione e sovrascrittura, comunque non oltre 30 giorni salvo eccezioni documentate |
12. Diritti dell'interessato
L'interessato può esercitare, nei casi previsti dal GDPR, i diritti di:
- accesso ai dati personali (art. 15);
- rettifica dei dati inesatti (art. 16);
- cancellazione dei dati (art. 17);
- limitazione del trattamento (art. 18);
- portabilità dei dati (art. 20);
- opposizione al trattamento (art. 21), ove applicabile;
- revoca del consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca.
Le richieste possono essere inviate al Titolare o al DPO ai recapiti sopra indicati.
Qualora in futuro venga attivato un trattamento di marketing diretto del Titolare basato sul consenso, l'interessato potrà revocarlo in qualsiasi momento con modalità semplici e facilmente accessibili, senza pregiudicare l'utilizzo del servizio principale.
13. Decisioni automatizzate
Il Titolare non adotta processi decisionali unicamente automatizzati che producano effetti giuridici o incidano in modo analogo significativamente sull'interessato ai sensi dell'art. 22 GDPR.
Eventuali funzionalità di OCR, classificazione o supporto documentale hanno natura di supporto operativo e non sostituiscono una decisione automatizzata con effetti giuridici sull'utente.
14. Reclamo all'autorità di controllo
L'interessato ha il diritto di proporre reclamo al Garante per la protezione dei dati personali, nonché di esercitare gli altri rimedi previsti dalla normativa applicabile.
15. Contatti
Per richieste privacy o per l'esercizio dei diritti:
- Titolare del trattamento: privacy@telamando.io
- DPO: dpo@telamando.io
16. Aggiornamenti dell'informativa
La presente informativa può essere aggiornata in caso di evoluzioni normative, organizzative o tecnologiche del servizio. La versione aggiornata sarà resa disponibile tramite i canali del Titolare.